apple 已部署了週三的緊急安全補丁,週三在其操作系統上,爭先恐後地修復了一對零日的漏洞,確認已確認在積極的利用下進行了積極的利用。該公司承認,這些缺陷影響了核心音頻處理和特定的處理器安全功能,已在有針對性的運動中武器。
在其諮詢中,apple 指出它已經意識到報告說:“此問題可能是在針對特定目標的人對IOS的極其複雜的攻擊中被利用的。” 關鍵更新不僅針對iOS和iPados,還針對MacOS,TVOS和Visionos,信號表明了基本問題的廣泛性質。
音頻缺陷允許代碼執行
一個脆弱性,被確定為 cve-2025-31200 ,通過蘋果的CoreAudio框架造成嚴重的風險。這種內存損壞缺陷意味著攻擊者如果用戶只是處理精心設計的惡意音頻文件,則可能會在設備上運行任意代碼。這種類型的利用可能導致數據盜竊或更廣泛的系統妥協。
Reflecting the potential severity, CISA-ADP assigned the flaw a CVSS 3.1 score of 7.5 (High), citing high potential impacts on confidentiality, integrity, and availability, although its向量需要用戶交互,並且具有很高的複雜性。蘋果指出,通過“改進的界限檢查”來解決這種漏洞,並將其發現歸功於內部團隊和Google的威脅分析組(TAG)。
處理器安全功能繞過
第二個問題, cve-2025-31201 ,目標是在較新的蘋果矽芯片中發現的可重構處理體系結構核心(RPAC)。 This vulnerability allowed attackers who had already gained read/write access on a device to sidestep Pointer Authentication (PAC).
PAC is a hardware-level security feature在手臂體系結構中 旨在在密碼上簽名的指針,使攻擊者更難通過攻擊者控制
更新涵蓋iPhone,iPad,Mac,Apple TV和Vision Pro
,儘管對IOS設備進行了積極攻擊,但對IOS設備進行了報告,但貼片證實了更大的影響。修復程序包含在 ios 18.4.1,iPados 18.4.1 ,, tvos 18.4.1 和 硬件接收更新包括iPhone XS和更新的型號;各種iPad ProS(11英寸第一代+,12.9英寸3rd gen+,13英寸),iPad Airs(3rd Gen+),標準iPad(第7代+)和iPad Minis(第5 gen+);除了Apple TV HD,所有Apple TV 4K車型和Apple Vision Pro一起。鑑於確認主動剝削,建議用戶迅速應用這些更新。 中,這兩個缺陷標誌著第四和第五天的零日脆弱性在2025年中佔據了2025年的公開範圍,在2025年中,<2024( 先前修補的2025個零日為 CVE-2025-24085(1月),CVE-2025-24200(2月)和CVE-2025-24201(3月)。當安全研究人員和報告(例如3月份)關於MAC用戶的網絡釣魚活動時,這種提升的發生是提示攻擊者對蘋果生態系統的興趣增加,這挑戰了其過去作為與Windows更頻繁的目標聲譽。雖然當前的攻擊被描述為高度針對性的,但補丁的可用性需要所有使用受影響設備的用戶的操作。 零天氣在增長的蘋果威脅